基于商業銀行重大突發事件下的安全與韌性管理研究

李民 蔡鵬遠

[摘要]以商業銀行業務連續性管理審計為例，通過審計重點解析、審計方法及案例分析，對內部審計促進組織在重大突發事件下改善業務連續性管理水平、提升安全運營能力效果進行了論證。研究認為，全面堅持總體國家安全觀，商業銀行內部審計通過業務連續性管理審計，可以幫助商業銀行提升業務連續性管理水平，減少運營中斷事件，提升業務運營穩定性和安全性。

[關鍵詞]業務連續性管理? ?商業銀行? ?內部審計? ?發展和安全

一、引言

統籌發展和安全，既是重大的理論問題，也是對實踐的重要要求，更是商業銀行實現高質量發展和高水平安全的必由之路。進入21世紀以來，我國商業銀行快速發展，經營領域不斷拓展，信息系統架構變化較大，業務運行復雜性持續上升。比如，隨著科技發展，商業銀行對信息系統依賴程度越來越高，各類新技術、軟硬件的引入也對信息系統的穩定運行帶來一定影響。與此同時，隨著普惠金融拓展，線上支付交易、金融市場等業務使得商業銀行業務連續性安全面臨著更嚴峻的挑戰。

二、政策制度概述

（一）國際組織對業務連續性的定義

2006年8月，巴塞爾銀行監管委員會及國際證監會組織等國際監管組織發表了《業務連續性的高級別原則》（以下簡稱《原則》），在國際層面統一對商業銀行業務連續性（Business Continuity，簡稱BC）提出了要求。《原則》詳細說明了金融機構和金融體系確保業務連續性的重要意義，指出業務連續性是金融機構和金融監管機構一直以來的最高任務。《原則》認為，確保金融體系在重大突發事件之下仍能保持韌性是金融機構和金融監管機構共同利益所在。

國際清算銀行（BIS）等監管組織認為，業務連續性是指業務連續的、不中斷的持續運營狀態。美國聯邦金融機構檢查委員會（FFIEC）認為，業務連續性管理（Business Continuity Management，簡稱BCM）是指金融機構為保護員工、客戶利益以及產品服務不會中斷而采取的提升韌性、連續性、危機響應等相關舉措的管理流程。

國際標準化組織（ISO）于2019年10月發布了新修訂的業務連續性管理體系標準，與2012年第一版相比，名稱由“公共安全-業務連續性管理體系要求”更新為“安全與韌性-業務連續性管理體系要求”。由此可見，業務連續性管理國際化實踐更加迎合了“韌性社會”的發展潮流，更加注重組織應對各類重大突發事件，并對脆弱性進行識別與管控，從而增強組織韌性以保持業務連續。

（二）國內對商業銀行業務連續性管理要求

商業銀行對業務連續性方面的要求近乎苛刻，采用業內最高標準進行系統的規劃、設計和構建。近年來，國內銀行發生的重大突發中斷事件表明，盡管商業銀行災難恢復和數據保全方面已經較為完善，但仍不可避免發生中斷事件，而業務連續性管理所解決的就是一旦發生重大突發事件，企業能夠在多長時間內恢復多少業務的問題。

金融監管機構十分重視商業銀行業務連續性管理體系建設。2010年，原銀監會發布《商業銀行數據中心監管指引》，已經提及了災難恢復管理。2011年原銀監會專門針對業務連續性管理下發《商業銀行業務連續性監管指引》，這些足見我國監管機構對商業銀行業務的連續性管理的高度重視。

三、商業銀行業務連續性管理面臨的挑戰

當前，全球經濟一體化，商業銀行提供的金融服務包括支付結算服務、存貸款服務、轉賬服務和募集資金等投融資服務，對于促進社會經濟穩定運行起到了重要作用，但商業銀行同時也面臨以下重要挑戰：

1.境內外商業銀行的耦合性日益緊密。隨著社會資金周轉速度加快，商業銀行之間相互關聯性也進一步增強。關聯性的增強，使得結算風險、市場風險、信用風險、流動性風險在金融體系之中擴散風險加大。因此，即使是單個銀行業務發生中斷，也有可能將風險傳導至其他商業銀行。

2.商業銀行清算和結算服務的重要性。比如，在突發事件中清算和結算服務發生中斷，將可能導致重要參與者無法完成資金轉移、難以償付其應償資金，從而對金融體系產生重大負面影響。

3.各類非傳統安全風險和突發事件的概率有所提升。突發公共衛生事件、氣候變化等因素的影響，對于商業銀行保持業務連續性也提出了挑戰。

4.信息系統架構轉型帶來的技術風險持續增加。在總體國家安全觀背景下，商業銀行正逐步以國產化軟硬件替代國外同類產品。但從客觀上分析，國產化產品在質量、性能和成熟度上還與國外產品存在一定差距，從而也對商業銀行信息系統連續性管理造成了一定影響。

四、商業銀行業務連續性管理審計有效實踐

內部審計部門作為商業銀行風險管理的第三道防線，有責任、有義務在業務連續性管理方面為組織統籌發展與安全提供風險確認和咨詢服務。

（一）業務連續性管理審計要點分析

商業銀行業務連續性管理審計主要包括以下五個領域：業務連續性組織架構、業務影響分析、業務連續性計劃和資源建設、業務連續性演練與持續改進、運營中斷事件應急處置。按審計對象可分為總部、科技中心、綜合化子公司、全國業務集中處理中心、境內分行、境外機構等6個層面。

1.業務連續性組織架構。管理層對于業務連續性管理具有監督和審查等職責，其重視程度和應對策略判斷會對機構業務連續性管理的執行起到決定性作用。管理層需要從宏觀角度評估業務連續性的潛在風險，并設定長期和短期連續性目標，采取相關策略和計劃來實現相應目標，增強業務的韌性，然后，根據培訓、測試和監測的反饋結果來更新業務連續性目標、計劃等一系列內容，審計重點見表1。

2.業務影響分析。商業銀行業務連續性管理實際執行過程中，業務影響分析（Business Impact Analysis，簡稱BIA）是業務連續性管理的基石。業務影響分析是指對可能造成業務中斷事件進行識別，并對其潛在沖擊強度進行分析，包括關鍵業務職能識別、相互依賴性分析和中斷影響，其結果直接決定對應信息系統恢復目標，審計重點見表2。

3.業務連續性計劃和資源建設。作為業務連續性管理最為重要的部分，商業銀行應根據機構規模和復雜性提前就業務連續性計劃（Business Continuity Plan，簡稱BCP）設置足夠細節化的安排，而且BCP應當是動態文件，定期根據組織架構和業務特性等內容進行更新。同時，商業銀行業務應分配BCP所需資源，滿足業務恢復目標和重要業務持續運營要求。對于商業銀行，科技中心和業務部門的資源建設同樣重要，審計重點見表3。

4.業務連續性演練與持續改進。商業銀行應定期開展業務連續性測試和演練，以此來評估BCP等內容是否符合業務連續性目標。從演練模式上來看，可以分為三種：一是全面演練，全面演練可以充分監測所有可供使用的資源（包括人員和信息系統）是否可以在最大限度上幫助商業銀行保持業務連續性。全面演練可以幫助管理層更為準確識別關鍵業務運營部門之間的關聯性。二是有限規模演練。有限規模演練往往是針對特定業務環節或業務條線在特定環境下是否能保持業務連續性來進行的演練。三是桌面演練。桌面演練即為負責業務連續性的人員對其在特定情況下所應扮演的角色和應負責任的討論，其目標在于確定業務連續性計劃對于個人職責和相應目標安排的合理性。最為重要的目的是在其中發現業務連續性管理漏洞和潛在值得改進的地方，因此在進行演練和測試后，應進行針對性改進，確保業務連續性管理能夠滿足目標，審計重點見表4。

5.運營中斷事件應急處置。處置重大運營中斷突發事件是檢驗商業銀行業務連續性管理水平高低的唯一標準。商業銀行應對自身業務及信息系統運行建立日常監控體系，合理劃定運營中斷等級，并完善應急管理預案，強化應急保障管理和對外公關，在發生運行中斷事件時全方位減少對組織的影響，審計重點見表5。

（二）審計方式及案例分析

業務連續性審計是對管理、業務、科技多個不同專業的綜合性審計。針對業務連續性管理中的各個環節、領域和流程，評價其風險控制效果。內部審計部門可以通過現場或非現場方式，運用信息技術特別是大數據分析技術，及時準確把握風險熱點。

1.開展專題分析，直擊關鍵環節。商業銀行不同業務和信息系統之間存在著復雜的調用關系，這些關系互相嵌套，對業務連續性的管理帶來一定難度。業務連續性管理中的一大重點就是要對關鍵業務職能的識別進行相互依賴性分析和中斷的影響評估。對于部分高災備等級業務或系統需調用的低災備等級業務，但出現底層業務或系統中斷時，將直接影響調閱其的重要業務或系統的可用性。

案例1：重要信息系統災難恢復調用基礎應用存在不可用隱患。比如，某商業銀行已將所有信息系統應急預案通過應急管理平臺進行管理，不再維護紙質應急預案。但該平臺災備等級較低，對應的系統恢復時間和數據恢復點均為7天。在災難環境下，上述應用將無法及時恢復，導致存儲于上述應用的所有應急預案無法獲取，如果此時再發生其他業務或信息系統等生產中斷事件，將影響信息系統的應急處置工作，導致系統恢復時間延長。

2.強化數據分析，瞄準業務疑點。內部審計通過數據分析，建立審計分析模型尋找風險線索已是普遍的審計方式。通過模型分析，一是可以擴大審計樣本量，實現全量審計;二是可以大幅降低審計成本，提高審計效率。審計人員通過對銀行網點日均業務量分析，發現部分網點交易量存在異常，為商業銀行基層機構連續性管理提供審計線索。

案例2：部分網點交易量較平均值大幅下降。通過對2020年以來某商業銀行所有網點日均交易量的數據分析和建模，得到了一批工作日無交易量或交易量大幅下降的網點清單，通過進一步分析清除部分少數民族節假日、網點裝修、市政計劃內停電等干擾因素，最終確認了多家網點由于水患、疫情封鎖等非正常原因造成運營中斷，涉及多個省份。

3.吸取歷史經驗，比照開展審計。歷史總是驚人的巧合，在業務連續性管理中也不例外，內部審計部門可以收集行業內外、國內外相關信息，從中提煉風險線索，對本機構相關管理現狀開展審計。

案例3：業務應急預案部分場景不夠極端。在2003年SARS疫情前，香港證券及期貨事務監察委員會（SFC）在舊版業務連續性計劃中，模擬的場景為部分員工由于突發事件無法前來上班，但是在面對SARS疫情時，出現由于單個員工被感染而導致整個部門被要求進行醫學隔離的情況，因此以SFC為代表的金融監管部門和商業銀行在此次事件后相應調整了其業務連續性計劃。結合上述資料，內審部門在對商業銀行部分機構開展審計時，也發現了存在類似情況，如某機構清算中心預案模擬就沒有設計由于疫情或其他因素造成辦公場地不可用、組織人員到備用場地開展業務的應急場景，同時在實際業務連續性資源建設中，也沒有制定和安排清算中心的備份工作場地及配套資源。當發生此類運營事件時，將導致該機構的清算業務無法短時間恢復，造成業務中斷。

4.利用穿行測試，發現執行漏洞。在審計過程中，內部審計人員可以通過對業務連續性計劃和配套應急預案開展穿行測試，檢驗計劃和預案內容的準確性、應急步驟的可操作性。

案例4：科技中心未掌握最新外部技術支持和合作方聯系信息。外部技術支持和合作方聯系信息是科技中心連續性計劃中的重要信息。審計人員通過抽樣撥打外部技術支持和合作方聯系電話，發現存在XX家外部技術公司的XX名支持人員發生離職或換崗的情況。同時部分重要外部公司聯系人及聯系信息未納入統一管理，如沒有市政電力部門和發電機供油的外部公司聯系人情況及聯系信息。

五、審計效果與思考

（一）開展業務連續性管理審計取得的效果

以工商銀行為例，通過近年來持續對業務連續性管理開展審計，發現了管理、業務、科技條線中的各種風險，提出有價值的建議，提升組織業務連續性管理水平和質量。雖然內外部連續性風險事件沖擊不斷，但未發生重大運營中斷事件，特別是在新冠肺炎疫情期間，工商銀行保持了國內、海外、疫區機構業務正常開展，提供了持續穩定的金融服務。

根據內部審計建議，工商銀行不斷完善自身業務連續性管理能力，將其從一個單一技術概念，發展成了一個涵蓋公司治理、風險管理、業務監控、信息系統的復合型管理模式。2013年以來，工商銀行未發生全轄范圍內的運營中斷事件，生產事件逐年降低，從2013年的20余起，逐漸降低到2020年的不足10起，降幅達到68%（見圖1）。

實踐證明，通過內部審計活動，可以幫助商業銀行提升業務連續性管理水平，減少運營中斷事件，提升業務運營穩定性和安全性。

（二）進一步完善業務連續性管理的四點思考

1.以業務連續性管理體系建設為指引，進一步提升商業銀行安全運營能力。商業銀行必須從長遠戰略考慮，梳理可能引發業務中斷的各類突發事件，深入思考極端條件下銀行如何安全穩健運行。從“既要高度警惕‘黑天鵝’事件，也要防范‘灰犀牛’事件”兩個方面，不斷優化業務連續性計劃，并以此對照完善和檢驗各類應急預案的針對性與可操作性，不斷促使技術預案與業務預案有機銜接。

2.按照業務連續性管理原理，開展商業銀行全流程運營要素梳理。對引發業務運營中斷的事件進行風險識別、評估與管控，按照“預警、處置、改進”3個環節，實現對安全運營全鏈條的系統管理。善于運用“底線思維”，做好最壞打算，運用技術手段加強風險監測，提前預警。科學、合理地對連續性風險分級分類，有針對性地做好預案與應急準備。

3.通過新技術、新工具，不斷完善連續性事件的監控、預警、處置體系建設。商業銀行作為信息化程度非常高的行業，要利用好新技術和新工具對業務連續性事件開展監控、預警和處置。通過建設運營安全監控體系，以數據分析和風險模型構建為基礎，建設全機構、全過程、智能化、一體化安全運營監控體系和預警體系，確保商業銀行各項業務安全穩定高效運行，并不斷完善自動化應急處置工具和流程，減少連續性中斷事件的響應時間，提高處置成功率。

4.堅持總體國家安全觀，做好業務連續性管理標準建設、知識培訓與推廣實施。與傳統安全管理理論實踐及方法相比，業務連續性管理體系更加全面系統考慮組織與社會的關系，把企業安全運營納入整個社會的公共安全體系。業務連續性管理從提出以來，其內涵及要求也在不斷變化和完善，商業銀行應該以業務連續性管理原理為基礎，建立起與我國社會主義安全發展理念相適應的業務連續性管理體系運行模式，以總體國家安全觀和公共安全體系建設來指導業務連續性管理實踐。

（作者單位：中國工商銀行內部審計局西安分局，郵政編碼：710075，電子郵箱：43583904@qq.com）

3070500589251